[转自横渡]开发Web应用程序应注意的安全
来源:互联网 发布:西部数码ai域名 编辑:程序博客网 时间:2024/04/30 18:33
1.SQL injection
这个已经是老话题了。但在很多时候自己写程序的时候也会偶而出现这样的问题。因为这样的注入式攻击在一个程序中是可以说潜在的可能性是随项目工程的越大而越多的。
解决的方法是:
严格的控制用户的输入,对数据的进行严格的控制。其中包括有用户字符输入,数据表单的验证及防止刻意的篡改参数。
如:多用ADO.net的API。存储过程等。
2.跨站脚本执行
把用户提交的HTML标签转换为HtmlEncode。
如:Label1.Text=Server.HtmlEncode(feedback.Text)
这样可以把像<script></script>这样的脚本给确保替换。
3.__VIEWSTATE
对于ASP.net来说,__VIEWSTATE是记录页面的数据信息的。这程数据是用Base64加密的。我们需要对它进行严格的验证。
解决方法:
修改Web.config:
<pages buffer="true" enableSessionState="true" enableViewState="true" enableViewStateMac="true" autoEventWireup="true" validateRequest="true"></pages>
和
<machineKey validationKey="AutoGenerate" decryptionKey="AutoGenerate,IsolateApps" validation="SHA1" />
4.验证
对于身份验证和目录安全严格验证。
如:用Web.config的Form验证。对目录、身份、操作权限等严格控制。
5.错误处理
禁止在程序错误时返回给用户程序内容等敏感信息。
如:在Web.config中把<customErrors>修改为
<customErrors mode="On" defaultRedirect="Error.htm"/>
6.Web service
禁用没用的Web service。禁止自动生成WSDL
==============
以上只是对单个Web application的安全做简单的设置。如需配置一个完好的环境所涉及更多更广。
具体的安全配置参考文献:
http://www.microsoft.com/china/technet/security/guidance/secmod92.mspx
- [转自横渡]开发Web应用程序应注意的安全
- 开发Web应用程序应注意的安全
- 开发安全的web应用程序
- 开发安全的web应用程序
- ASP.NET WEB 开发效率 应注意的几个方面
- ASP.NET安全[开发ASP.NET MVC应用程序时值得注意的安全问题](转)
- web应用程序开发注意私自启动线程的问题
- 开发安全应用程序(一)-- 开发安全 Web 应用程序
- 失败的横渡海峡
- Web开发中将Seesion里的值取出来应注意的问题
- Hibernate和spring开发web应用时要注意的几个环节
- 移动开发应注意的几个问题
- 数据库开发中应注意的地方
- 底层开发应注意的若干问题
- flex开发新手应注意的地方
- 简述驱动开发应注意的事项
- 程序设计和开发应注意的事项
- 安卓开发应注意的问题
- SQL Server中查询时显示行号的方法
- Hook学习小结
- World's next fuel source could be designer organisms
- 软件项目经理所必需具备的素质
- 怎样从一个函数返回多个值?
- [转自横渡]开发Web应用程序应注意的安全
- 我记得最深的程序员的故事——程序员和青蛙
- Bt cotton in China fails to reap profit after seven years
- Java中的模式 --单态 (部分翻译 double-checked locking break)
- 利用winpcap/libnet开发EAPOL-START/LOGOFF攻击测试工具
- 确保 ASP.NET 应用程序和 Web Services 的安全
- SOA 事务管理,第 1 部分:事务协调服务
- winpcap资料2
- SCJP证书